Po včerajšnjem vdoru v protokol Platypus je bilo s pomočjo varnostnega podjetja BlockSec na izkoriščeno platformo vrnjenih vsaj 2.4 milijona USDC.
Od skoraj 9.1 milijona dolarjev ukradenih sredstev iz Platypusa je bilo je pokazala, da bi lahko napadalec izplačal samo 270,000 $, glede na MetalSleuth, orodje za vizualizacijo podjetja Blocksec.
Približno 8.5 milijona dolarjev ukradenih sredstev je zamrznjenih v Naročilo so bili preneseni na in še 380,000 $ iz drugega poskusa izkoriščanja je bilo slučajno poslano nazaj v Aave, kažejo podatki v verigi.
Pridobivanje dela ukradenih sredstev za Platypus se je vrtelo okoli načrta BlockSec, da bi izkoristil vrzel v napadalčevi pogodbi.
"Z izkoriščanjem te vrzeli lahko projekt prenese sredstva iz napadalčeve pogodbe na račun projekta," je za The Block povedal Yajin Zhou, soustanovitelj BlockSec.
»Projekt je povrnil 2 milijona dolarjev z uporabo dokaza koncepta, ki smo ga zagotovili. To je bilo namenjeno povrnitvi sredstev iz napadalčeve pogodbe,« je povedal Zhou, ki je dodal, da je okoli 8 milijonov dolarjev sredstev nasedlo, saj napadalčeva pogodba nima funkcije prenosa.
Povratni klic vdora
Da bi dobil nazaj kripto, je BlockSec uporabil funkcijo povratnega klica v napadalčevi pogodbi.
»Napad je bil sprožen prek vmesnika za povratni klic flash posojila v pogodbi o napadu. Ta funkcija povratnega klica nima nadzora dostopa. In med to funkcijo povratnega klica je napadalec trdo kodiral logiko za odobritev USDC v pogodbo projekta (ki je proxy),« je opozoril Zhou.
»Torej lahko projekt najprej prikliče funkcijo povratnega klica v pogodbi napadalca, da potrdi USDC k pogodbi projekta. Nato lahko projektna pogodba umakne USDC iz napadalčeve pogodbe z nadgradnjo proxyja na novo izvedbo,« je dejal Zhou.
Popravek: posodobljeno, da popravi uradno ime Platypusa.
Vir: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss